Resumen Ejecutivo | Octubre 2017

Patrocinado por Thales eSecurity REALIZADO DE MANERA INDEPENDIENTE POR EL

PONEMON INSTITUTE LLC

2017 ESTUDIO GLOBAL DE TENDENCIAS EN PKI

RESUMEN EJECUTIVOEl aumento del Internet de las cosas (IoT) en las empresas y su impacto en cómo las organizaciones diseñan y construyen su infraestructura de llaves públicas (PKI) es un tema clave en el estudio de este año. En especial, IoT es la tendencia más ágil que impulsa la implementación de aplicaciones que utilizan PKI.

Mientras que los estándares y las exigencias externas, así como las aplicaciones empresariales han disminuido su importancia entre las inquietudes de las compañías respecto al cambio y a la incertidumbre, en los últimos tres años se ha visto un aumento en el interés en cómo las nuevas aplicaciones como IoT afectarán la incertidumbre respecto a las PKI.

Actualmente las empresas utilizan sus PKI para apoyar más de ocho aplicaciones diferentes, en promedio. Sin embargo, las conclusiones de este estudio indican una falta general de propiedad clara de PKI, al igual que una falta de recursos y habilidades para respaldarlas de manera adecuada. Los enfoques actuales sobre la PKI están fragmentados y no siempre incluyen las mejores prácticas, lo cual indica que muchas empresas necesitan esforzarse aún más para proteger sus PKI como una parte importante de crear una base de confianza.1

Ponemon Institute tiene el agrado de presentar las conclusiones del Estudio de tendencias globales de PKI 2017, patrocinado por Thales e-Security. En este informe, se resumen los terceros resultados anuales de una encuesta realizada a 1.510 profesionales de TI y profesionales en seguridad de TI en los siguientes 11 países: Estados Unidos, el Reino Unido, Alemania, Francia, Australia, Japón, Brasil, la Federación Rusa, la India, México y Arabia. En el informe se presentan las respuestas de la encuesta en forma de tablas y se elaboran algunas conclusiones limitadas sobre cómo se reflejan las mejores prácticas en las prácticas observadas, y la influencia de la informática de la nube, Internet de las cosas y otras tendencias de la industria que sean relevantes.

Este trabajo forma parte de un estudio más amplio publicado en abril de 2017, en el cual participaron 4.802 encuestados en 11 países.2 El objetivo de esta investigación es comprender mejor el uso de las PKI en las empresas. Todos los participantes de esta investigación participan en la administración de la PKI empresarial de sus organizaciones o en el desarrollo y la administración de aplicaciones que dependen de credenciales controladas por la PKI de sus organizaciones.

Figura 1. Muestra las principales prácticas que adoptan las organizaciones para proteger la PKI y las entidades de certificación (CAs). Las dos más empleadas son la autenticación de múltiples factores para los administradores y una ubicación física segura (59% y 47% de los encuestados, respectivamente).

1 Las mejores prácticas para diseñar, aplicar y mantener una PKI se pueden encontrar en varios documentos públicos, como los estándares de Webtrust (http://www.webtrust.or/item64428.aspx) y la Publicación NIST 800-57, Partes 1-3.

2 Ver: Estudio de tendencias globales de cifrado 2017 (patrocinado por Thales e-Security), Ponemon Institute, Abril de 2017.

Autenticación de múltiples factores para los administradores

Ubicación física segura

Prácticas formales de seguridaddocumentado

Contraseñas solas sinun segundo factor

Raíz sin conexión CAs

Redes aisladas

Mantenimiento estricto deregistros (e.g., grabación de video, observadores independientes, etc.)

Figura 1. Prácticas empleadas para proteger lasPKI y las entidades de certi�cación

59%

47%

40%

29%

28%

21%

13%

0% 10% 20% 30% 40% 50% 60%

3 2017 PKI GLOBAL TRENDS STUDY

Algunas de las conclusiones principales son:

Los cambios y la incertidumbre sobre la PKI debido a las nuevas aplicaciones, como IoT, aumentaron radicalmente desde 2015. Los encuestados preocupados por el impacto de IoT en la PKI aumentaron del 14% al 36%.

IoT se posiciona como una tendencia importante que impulsa la implementación de aplicaciones que utilizan la PKI. Aunque la tendencia más importante que impulsa la implementación de aplicaciones que emplean la PKI continúan siendo los servicios basados en la nube (54 % de los encuestados), IoT subió del 21 % al 40 % de los encuestados durante los últimos tres años.

En los próximos dos años, un promedio del 43% de los dispositivos en uso dependerán principalmente de certificados digitales para identificación y autenticación.

¿Cómo se administran las claves privadas de las raíces de CA / políticas? Los módulos de seguridad del hardware (HSM) son utilizados por el 36% de los encuestados para administrar las claves privadas para las autoridades de certificación raíz/política.

Aumenta el desafío de enfrentar la falta de visibilidad de las capacidades de seguridad de la PKI actual. La falta de visibilidad de las capacidades de seguridad de la PKI actual aumentó del 19% en 2015 al 28% de los encuestados en la investigación de este año.

El principal desafío de la implementación de la PKI continúa siendo la falta de propiedad clara de la función de la PKI. El sesenta y nueve porciento de los encuestados sostiene que no existe ninguna función dedicada a administrar la PKI, lo cual constituye un pequeño aumento respecto a 2015.

La norma FIPS 140 y common criteria son las certificaciones de seguridad más importantes al momento de implementar la infraestructura PKI y aplicaciones basadas en la PKI. Sesenta y cinco porciento dice que FIPS 140 es la norma más importante, seguida de los criterios comunes (64% de los encuestados) cuando despliegan PKI.

Los certificados SSL para los sitios web y servicios de acceso público aumentan el uso de credenciales PKI de manera significativa. Aplicaciones que emplean credenciales PKI con más frecuencia son: los certificados SSL para sitios web y servicios de acceso público (84% de los encuestados).

“EN LOS PRÓXIMOS DOS AÑOS, UN PROMEDIO DE 43% DE LOS DISPOSITIVOS EN USO DEPENDERÁN PRINCIPALMENTE DE CERTIFICADOS DIGITALES PARA IDENTIFICACIÓN Y AUTENTICACIÓN.”

Descargue el informe completo para obtener más información en: https://pki.thalesesecurity.com

©20

17 T

hale

s

Acerca de Ponemon Institute Ponemon Institute© se dedica a promover información responsable y prácticas de gestión de la privacidad en empresas y en el gobierno. Para lograr este objetivo, el instituto realiza investigaciones independientes, capacita a líderes del sector público y privado, y verifica las prácticas de privacidad y de protección de datos en organizaciones pertenecientes a una amplia variedad de industrias.

Acerca de Thales eSecurity Thales e-Security es la empresa líder en servicios y soluciones de seguridad de los datos avanzados que garantizan confianza para la creación, el uso compartido o el almacenamiento de datos. Aseguramos que los datos que pertenecen a compañías u organismos públicos cuenten con seguridad y confianza dentro de cualquier entorno (interno, en la nube, en centros de datos o entornos de Big Data) sin renunciar a la agilidad empresarial. La seguridad no solo reduce el riesgo, sino que hace posibles iniciativas digitales omnipresentes en nuestras vidas, como el dinero digital, las identidades electrónicas, la e-Salud, los vehículos conectados y, de la mano del Internet de las Cosas, incluso en los electrodomésticos. Thales proporciona todo lo que una organización necesita para proteger y gestionar sus datos, identidades y propiedad intelectual, y para cumplir las exigencias normativas, a través del cifrado, la gestión avanzada de llaves, la tokenización, el control de usuarios con privilegios y soluciones de alta protección. Profesionales en seguridad de todo el mundo recurren a Thales para agilizar con plena confianza la transformación digital de su organización. Thales e-Security es parte del Grupo Thales.

Acerca de Thales Thales es un líder de tecnología global para los mercados aeroespacial y de transporte, defensa y seguridad. Thales posee 61,000 empleados en 56 países e informó ventas por €13 mil millones en 2014. Compuesta por más de 20,000 ingenieros e investigadores, Thales tiene la capacidad exclusiva de diseñar e implementar equipos, sistemas y servicios destinados a cumplir con los requisitos de seguridad más complejos. Su exclusiva trayectoria internacional le permite trabajar de cerca con sus clientes en todo el mundo.